Trend: Farvel til tjekliste-compliance
Klokken 22.38 en onsdag i maj 2018. “Behandlingsgrundlag” havde jeg lige skrevet i celle B14 i regnearket. Kan I huske det? Vi havde jo truet ledelsen med, at hvis vi ikke fik styr på GDPR, så ville der vanke bøder. Nu skulle boksene tjekkes af.
.jpeg)
Frygt og tjeklister. Det var opskriften for mange af os, da GDPR væltede ind på scenen i 2018.
Min playbook dengang?
- Beregn 4 % af omsætningen som potentiel bøde
- Brug tallet til at få ledelsen i gang
- Læs GDPR for minimumskrav
- Lav et regneark med fortegnelser og risici
- Kryds af – og tilbage til kerneforretningen
Men nu skriver vi 2025, og den tilgang virker ikke længere.
Frygten viste sig ubegrundet
Vi brugte frygt som løftestang:
“Overholder du ikke reglerne, kan du blive personligt ansvarlig. Farvel til bestyrelsesposter. Farvel til Ferrarier og Caribiske ferier.”
Realiteten er imidlertid, at den strategi har vist sig kontraproduktiv. For de fleste virksomheder er risikoen for at blive opdaget lav, og bøderne er i praksis ganske lave.
De fleste ledere kan konstatere, at der ikke var noget at frygte.
Som en af mine tidligere chefer ofte sagde til vores PR-kunder:
“Det er et stærkt budskab – lige indtil journalisten stiller et opfølgende spørgsmål.”
Det samme gælder i compliance. Hvis hele argumentet hviler på frygt, kommer det uundgåelige spørgsmål: “Hvor sandsynligt er det egentlig?”
Compliance bør i stedet bygge på en positiv fortælling – én der fokuserer på, hvordan et databeskyttelsesprogram bidrager til forretningen og skaber værdi for mennesker.
{{factbox-dark}}
Tjeklister er ikke nok
Den anden del af min playbook handlede om tjeklister. Det gjorde din sikkert også.
Tjekliste-compliance er ikke bare forældet – den er utilstrækkelig i en verden, hvor risici og og omverdenens forventninger til os ændrer sig.I stedet har vi brug for en tilgang baseret på, at vi skaber grundlaget for, at vi kan træffe balancerede beslutninger om informationssikkerhed og databeskyttelse:
- Ja, regneark kan være nyttige.
- Men de er sjældent tilstrækkelige som langsigtet compliance-værktøj.
- Mange GDPR-fortegnelser fra 2018 er aldrig blevet opdateret.
- Det kræver dynamiske systemer og kontinuerlig forankring i forretningen.
Og måske vigtigst af alt: Compliance bør ikke kun handle om at være compliant – men om at føle sig tryg i processerne og i det arbejde, man udfører.
Fremtidens GRC?
Den kræver mere end tjeklister og frygt.
Den kræver blik for kompleksitet, mod til at navigere i forandringer – og viljen til at gøre compliance til en naturlig del af forretningen.
Ikke fordi vi skal. Men fordi det giver mening.
5 trends til at gøre skrøbelig databeskyttelse og informationssikkerhed til et bæredygtigt GRC-program
De vigtigste trends:
Trend #1 – Fra centraliseret afdeling til tværorganisatorisk samarbejde
Trend #2 – Fra tjekliste-compliance til balanceret beslutningstagning
Trend #3 – Fra problemorienteret til løsningsorienteret
Trend #4 – Fra juridisk tankegang til strategisk involvering
Trend #5 – Fra styring af registrerede til at tage sig af mennesker
Tilmeld dig vores newsletter 'Sustainable Compliance'
Vores nyhedsbrev giver dig viden fra eksperter, diskuterer de seneste trends, læringer og råd inden for compliance. Vi udforsker også, hvordan vi kan omforme den måde, vi tænker og organiserer os omkring compliance, for at skabe en robust og farbar vej for processerne.
